[[397083]]

微軟宣布其商業(yè)版反病毒軟件Microsoft Defender for Endpoint開始利用英特爾的威脅檢測(cè)技術(shù)(TDT)來(lái)阻止挖掘加密貨幣的惡意軟件濫用失陷主機(jī)的計(jì)算資源。

英特爾威脅檢測(cè)技術(shù)(TDT)可以和安全軟件共享啟發(fā)式檢測(cè)和遙測(cè)技術(shù)，安全軟件可以使用這些書檢測(cè)與惡意代碼相關(guān)的行為活動(dòng)。TDT技術(shù)會(huì)利用機(jī)器學(xué)習(xí)來(lái)分析CPU的性能監(jiān)視單元(PMU)產(chǎn)生的低級(jí)硬件遙測(cè)數(shù)據(jù)，在運(yùn)行時(shí)檢測(cè)惡意軟件執(zhí)行的“指紋”。TDT技術(shù)在任何支持Intel vPro技術(shù)的第六代與后續(xù)高版本的Intel CPU中都會(huì)得到支持。

微軟將將英特爾威脅檢測(cè)技術(shù)(TDT)集成到Microsoft Defender for Endpoint中，該功能可以增強(qiáng)對(duì)加密貨幣礦工的檢測(cè)能力。TDT技術(shù)可以利用Intel芯片中的性能分析工具來(lái)監(jiān)視和檢測(cè)惡意軟件的執(zhí)行行為，TDT技術(shù)可以將機(jī)器學(xué)習(xí)推斷過(guò)程進(jìn)一步轉(zhuǎn)移到集成的GPU中，從而可以以很小的開銷進(jìn)行持續(xù)的監(jiān)控。

Microsoft Defender TDT 2

微軟的安全專家指出，加密貨幣礦工會(huì)大量使用由PMU監(jiān)視的重復(fù)數(shù)學(xué)計(jì)算。當(dāng)惡意軟件的算力達(dá)到某個(gè)閾值時(shí)，PMU就會(huì)生成預(yù)警信號(hào)，由機(jī)器學(xué)習(xí)引擎進(jìn)行分析，確定該活動(dòng)是否與加密貨幣礦工相關(guān)。

該預(yù)警信號(hào)與加密貨幣礦工的執(zhí)行特性相關(guān)，不受其他CPU利用率高的程序的影響，也不受惡意軟件常用的反分析技術(shù)(例如代碼混淆或內(nèi)存解密等手段)的影響。這種技術(shù)對(duì)使用復(fù)雜檢測(cè)逃避技術(shù)的惡意軟件非常有用，還可用于檢測(cè)虛擬機(jī)/容器逃逸的惡意代碼的活動(dòng)。

“當(dāng)組織希望聚焦安全能力建設(shè)時(shí)，我們致力于基于內(nèi)置平臺(tái)的安全防護(hù)，提供一種最佳的、精簡(jiǎn)的解決方案。微軟與業(yè)界的OEM、技術(shù)合作伙伴進(jìn)行合作，微軟也保持與芯片制造商的緊密合作，探索基于硬件的防御能力提供抵御網(wǎng)絡(luò)威脅的能力”。

參考來(lái)源：

• SecurityAffairs
• Microsoft